Показано с 1 по 18 из 18.

Троян. Backdoor (заявка № 37989)

  1. #1
    Junior Member Репутация
    Регистрация
    01.06.2008
    Сообщений
    25
    Вес репутации
    35

    Question Троян. Backdoor

    Помогите, пожалуйста, победить трояна. Откуда взялся - сам не понимаю! Все инструкции выполнил. Скрипты в приложении. Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Вот такой набор. Выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
     QuarantineFile('00000C1D.sys','');
     QuarantineFile('C:\WINDOWS\system32\mmmiweiw.dll','');
     DeleteFile('C:\WINDOWS\system32\mmmiweiw.dll');
     DeleteFile('C:\WINDOWS\system32\digeste.dll');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать новые логи.

    Загрузить карантин по Правилам.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    01.06.2008
    Сообщений
    25
    Вес репутации
    35
    Спасибо! Все выполнил. Логи высылаю. Карантин выслал.
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Установите AVZPM и повторите логи AVZ...

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    'C:\WINDOWS\system32\mmmiweiw.dll' - Backdoor.Win32.Agent.acrj
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\digeste.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать логи AVZ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    01.06.2008
    Сообщений
    25
    Вес репутации
    35
    Высылаю логи. Спасибо
    Вложения Вложения

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Вот это было удалено:

    cssrss.exe_ - Trojan.Win32.Agent2.xn,
    digeste.dll - Trojan.Win32.Inject.nxt

    Детектирование файлов будет добавлено в следующее обновление.

    mmmiweiw.dll - Backdoor.Win32.Agent.acrj,
    services.exe_ - Email-Worm.Win32.Joleee.er

    Эти файлы определяются антивирусом. Обновите антивирусные базы

    Добавлено через 2 минуты

    Остаток дочистим:
    Код:
    begin
     DeleteFile('c:\windows\system32\digeste.dll');
    ExecuteSysClean;
    end.
    Пункт 2 диагностики повторите.
    Последний раз редактировалось PavelA; 22.01.2009 в 16:19. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    01.06.2008
    Сообщений
    25
    Вес репутации
    35
    Доочистку выполнил. Высылаю логи. Спасибо!

  10. #9
    Junior Member Репутация
    Регистрация
    01.06.2008
    Сообщений
    25
    Вес репутации
    35
    Еще раз.
    Вложения Вложения

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    digeste.dll - придется искать руками через AVZ и удалять. Не хочет она уходить.
    Еще вот это поищи: load1.exe
    Поищи через AVZ '00000C48.sys' Если найдется, то положи в карантин и пришли.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    01.06.2008
    Сообщений
    25
    Вес репутации
    35
    digeste.dll, load1.exe, '00000C48.sys' через AVZ не обнаруживаются. Что делать?

    Добавлено через 47 минут

    Есть только файлы:
    'c:\windows\system32\digest.dll'
    'c:\windows\system32\dllcache\digest.dll'
    (без 'е'),
    но в карантин скопировать их у меня не получается.
    Жду инструкций.
    Последний раз редактировалось Alexey; 22.01.2009 в 21:04. Причина: Добавлено

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    при помощи Gmer лог сделай.

    Добавлено через 32 минуты

    Выполнить и повторить логи AVZ.
    Код:
    begin
    SetAVZPMstatus(true);
    RebootWindows(true);
    end.
    Последний раз редактировалось PavelA; 23.01.2009 в 16:03. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    01.06.2008
    Сообщений
    25
    Вес репутации
    35
    Выполнил. Высылаю повторенные логи AVZ.
    Вложения Вложения

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\sysprep\factory.exe','');
     QuarantineFile('C:\Documents and Settings\Oleh\Oleh.exe','');
     DeleteService('securentm');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\mjmqgq.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\00000AFD.sys');
     DeleteFile('\??\C:\WINDOWS\system32\drivers\mjmqgq.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\Documents and Settings\Oleh\Oleh.exe');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\system32\mmmfrzfr.dll');
     DeleteFile('digeste.dll');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('securentm');    
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  16. #15
    Junior Member Репутация
    Регистрация
    01.06.2008
    Сообщений
    25
    Вес репутации
    35
    Скрипт выполнил. Карантин выслал. Высылаю логи.
    Большое спасибо!
    Вложения Вложения

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    в AVZ
    Код:
    begin
     BC_DeleteSvc('port135sik');
     BC_DeleteSvc('lpvqflpd');
    BC_Activate;
    RebootWindows(true);
    end.
    Посмотрите этот файлик C:\sysprep\factory.exe. Если он есть, то заахривируйте его с паролей virus и пришлите по правилам.
    Логи повторите + лог HiJackThis сделайте.

  18. #17
    Junior Member Репутация
    Регистрация
    01.06.2008
    Сообщений
    25
    Вес репутации
    35
    Скрипт выполнил. Файл C:\sysprep\factory.exe у себя на компьютере не обнаружил.
    Высылаю логи и hijackthis.log.
    Спасибо.
    Вложения Вложения

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\oleh\\oleh.exe - Trojan-Downloader.Win32.Agent.befd (DrWEB: Trojan.DownLoad.2359
      2. c:\\windows\\services.exe - Email-Worm.Win32.Joleee.er
      3. c:\\windows\\system32\\cssrss.exe - Trojan.Win32.Agent2.xn
      4. c:\\windows\\system32\\digeste.dll - Trojan.Win32.Inject.nxt
      5. c:\\windows\\system32\\drivers\\mjmqgq.sys - Rootkit.Win32.Agent.grs
      6. c:\\windows\\system32\\mmmiweiw.dll - Backdoor.Win32.Agent.acrj (DrWEB: Trojan.Click.origin)


  • Уважаемый(ая) Alexey, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. троян backdoor.win32.Kbot.bey
      От sergo1980 в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 27.09.2011, 13:28
    2. Троян Backdoor.Win32.IRCBot.nwm
      От edep в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 30.08.2010, 14:39
    3. Троян Backdoor.Win32.Iroffer.z
      От derrezza в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 06:05
    4. Троян Backdoor.Win32.Haxdoor.kz
      От rvk в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:42
    5. Троян с функционалом backdoor-Singu.AM
      От SDA в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 26.09.2008, 13:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01222 seconds with 17 queries